企业信息安全管理与防护.docVIP

企业信息安全的管理与防护 　　摘 要：企业信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。习近平总书记指出，没有网络信息安全就没有国家安全，没有信息化就没有现代化。在信息系统安全保障工作中，人是最活跃的因素，人员的企业信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。 　　关键词：企业信息安全保障基础；企业信息安全技术；企业信息安全管理 　　中图分类号：TP311 文献标识码：A 文章编号：1671-2064（2017）06-0020-02 　　随着现代化无纸办公要求的提高，相应的也就要求了现在企业办公离不开网络，便于办公的企业都自行建立了自己的企业内网，“企业自身处内网环境中，黑客难以入侵。但实际上，无线网络、众多智能设备（如手机、Pad等）为黑客提供了更多便利，而企业所信任的防火墙在黑客面前形同虚设。”知名企业信息安全顾问、国家企业信息安全最高认证（CISP）金牌讲师张胜生在讲座中对目前国内企业普遍缺乏企业信息安全专业团队，漠视企业信息安全的现状表示担忧。 　　2013年中央电视台播出的“棱镜门 ”一时闹的沸沸扬扬，棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。 　　该类事件也反应了关于企业及个人企业信息安全的问题。 　　1 企业信息安全管理基础 　　1.1 企业信息安全事件分析 　　统计结果表明，在所有企业信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。 　　1.2 企业信息安全管理的需求 　　企业信息安全取决于两个因素：技术和管理。安全技术是企业信息安全的构筑材料，安全管理是真正的粘合剂和催化剂，企业信息安全管理是预防、阻止和减少企业信息安全事件发生的重要保障。 　　1.3 信息安全保障的内涵 　　信息安全保障要综合技术、管理、工程和人。应融入信息系统生命周期的全过程，目的不仅仅是保障信息系统本身，更应该是通过保障信息系统，从而保障运行于信息系统之上的业务系统、保障组织机构。信息安全保障不仅仅是孤立的自身的问题，更应该是一个社会化的、需要各方参与的工作，信息安全保障是主观和客观的结合。 　　2 企业信息系统安全系统结构组成要素 　　实现企业信息安全系统结构的安全，要从多方面考虑，通常定义包括安全属性、系统组成、安全策略、安全机制等4个方面。在每一个方面中，还可以继续划分多个层次；对于一个给定的层次，包含着多种安全要素。 　　2.1 安全属性 　　安全本身是对信息系统一种属性要求，信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。安全服务和安全机制的对应关系如下：5大类安全服务：身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8类安全机制及其相应的OSI安全管理等对应OSI模型的7层协议中的不同层，以实现端系统企业信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。 　　2.2 系统组成 　　系统组成描述信息系统的组成要素。对于信息系统的组成划分，有不同的方法。可以分为硬件和软件，在硬件和软件中又可以进一步地划分。对于分布的信息系统，可以将信息系统资源分为用户单元和网络单元，即将信息系统的组成要素分为本地计算环境和网络，以及计算环境边界。 　　2.3 安全策略 　　在安全系统结构中，安全策略指用于限定一个系统、实体或对象进行安全相关操作的规则。即要表明在安全范围内什么是允许的，什么是不允许的。直接体现了安全需求，并且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言，安全策略主要是对加密、访问控制、多级安全等策略的通用规定，不涉及具体的软硬件实现；而对于具体型安全系统结构，其安全策略则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明，亦即要描述允许或禁止系统和用户何时执行哪些动作，